11 月 10 日消息,网络安全公司 Palo Alto Networks Unit 42 于 11 月 7 日发布博文,披露了针对三星 Galaxy 用户,名为“Landfall”的商业级安卓间谍软件。该软件利用三星手机系统中的一个零点击漏洞,通过特制的“陷阱图片”发起攻击,无需用户任何操作即可悄然植入设备。
IT之家援引博文介绍,该攻击方式极其隐蔽,用户在接收到一张特制的图片后,完全无需点击或任何其他交互,手机就会在毫不知情的情况下被感染。三星公司已在其 2025 年 4 月的安全更新中修复了此漏洞(编号 CVE-2025-21042)。
Landfall 的攻击链始于经过篡改的数字图像文件,具体来说是基于 TIFF 格式的特制 DNG 文件(一种数字原始图像格式)。攻击者在这些看似正常的图片文件中嵌入了包含恶意代码的 ZIP 压缩包。
当三星手机的后台图像处理组件自动解析这张图片时,便会触发漏洞,自动提取并执行隐藏的恶意程序。这一过程在后台静默完成,用户无法察觉任何异常。
恶意软件一旦成功植入,会立刻修改设备的 SELinux 策略(安卓系统的一项核心安全机制),从而绕过系统的沙盒隔离,获取极高的系统权限。
凭借这些权限,Landfall 的操控者可以窃取设备中的海量敏感信息,包括设备标识符、已安装应用列表、联系人、文件目录和浏览器数据。更为严重的是,该间谍软件还能远程激活手机的麦克风和摄像头,对用户进行实时监视。
根据调查,此次攻击并非大规模无差别传播,而是针对特定区域的精准打击。受影响的设备型号包括 Galaxy S22、S23、S24 系列以及 Z Flip 4 和 Z Fold 4 等折叠屏手机,感染痕迹主要集中在伊拉克、伊朗、土耳其和摩洛哥等中东国家